Saadetud ideed

Allikas: Kuutõrvaja

Tulenevalt Koolilinuxi projektist (http://www.nordtech.ee/koolilinux/) võiks paika panna tervikliku süsteemi:

  • OpenLDAP-i baasil keskse isikutuvastuse (autenthication) tegemine nii Linuxi, Windowsi kui Mac-i masinatele koos roomavate profiilidega ja kodukaustaga. Võimalik, et see on seotud PAM-iga. Et lähen mistahes OS-i ja saan oma kodukausta külge. Ehk ka miskite graafiliste ja/või veebipõhiste vidinate tutvustamine selleks tarbeks. Kuni selleni välja, et kuidas teha nii, et õpetaja kodus sisse logides saaks isikut tuvastada kooli OpenLDAP-i serveri pealt ning saaks külge haakida oma kooli serveris asuva failide kausta koduarvutisse ja saaks ka roomava profiili. Roomavad profiilid peaks olema Windowsi ja Linuxi jaoks ja kui õnnestub siis ka MacOS-i jaoks. Aga keskendume WinXP ja Linuxi peale. Ise Ubuntu peal hetkel. Arvutiklassis kasutan teist aastat Edubuntu Linuxit.

Miskit näikse sel teemal ka juba olemas olevat - http://kuutorvaja.eenet.ee/wiki/Ldap_klient_ja_server - aga taas on asi vaid BSD peal... Linuxi kohta võiks ka olla. Ja muidugi see, et kuidas LDAP-i siduda teiste teenustega. Apache kohta näikse midagi ka kirjas olevat. Aga veel FTP (vsftpd, proftpd), MySQL, e-post, kooli koduleht.

  • kuidas sõrmejäljelugejat kasutada Linuxis isikutuvastusena. See kuuldavasti PAM-i abiga toimub. Mitmed IBM jt. sülearvutid seda sisaldavad.
  • kuidas kaitsta kooli tingimustes KDE, Gnome, XFCE jt. töölauakeskkondi, et mitte midagi ei saaks seadistada ega muuta. Õpilased kipuvad muutma kõike, mida muuta annab... Samuti eraldi rakenduste kaitsmine kui töölauakeskkonna kaitsmisega ei saa asja lahendada kõikide rakenduste jaoks. Teine lahendus oleks OpenLDAP-iga isikutuvastus ent kui mingil põhjusel võrk või OpenLDAP ei toimi, et siis ikkagi oleks üks kohalik kasutaja ka, kellena sisse logida. Tavaliselt on mul automaatne sisselogimine ühe kohaliku kasutajaga praegu. Ehk aitab siis miski Kiosk Mode vms. - samas kas seda on kõikidel töölauakeskkondadel olemas... Ise olen kasutanud kleepbitti ja õiguste/omanikega mängimist. Ent näiteks Gnome-s Ubuntu all on nii, et kui kasutaja tahab töölauale kirjutada ja ei saa siis ta teeb nii:

mkdir Desktop_uus mv Desktop Desktop_vana mv Desktop_uus Desktop ... ja siis risusta töölaud ära nii, kuidas jaksad... Niipalju siis sellest õiguste/omanike/kleepbitiga mängimisest. Õnneks minu koolis ei ole seda veel taibatud ent siiski mõned õpilased on seda ka taibanud...

  • serveri juures - kuidas teha korraga palju kasutajaid. Ise kasutan CentOS-i serveris. Kasutajate tegemisega vaja nende kodukaustad ümber suunata ehk siis /home alla symlingid teha tegelikku asukohta ja tegelikus asukohas omanik ja grupp õigeks panna (nt. chown -R juhanjuurikas:juhanjuurikas /mnt/kodud/opilased/juhanjuurikas). Samuti kuidas luua kasutajanimelised kodukaustad sinna teise kohta (nt. /mnt/kodud/opilased/) kui neid on vaja hulgi palju teha. Sama ka õpetajatega - nt. /mnt/kodud/opetajad/


  • kuidas võtta kasutusele sftp ehk siis isikutuvastus käiks üle SSH aga failivahetus üle FTP
  • kuidas teha nii, et näiteks kui sülearvuti vms. arvuti läheb võrku (Windows, Linux, MacOS) siis kõigepealt tuleb SSH-tunnel käivitada mingi serveriga ja alles siis saab masin võrku. Või saab ka läbi locahost-i midagi teha.
  • kaughaldus FreeNX baasil, ka tagasihelistamispalvega aitamise stsenaarium. Seda võiks saada ka skriptina teha nagu ma ise x11vnc baasil olen teinud. Hetkel olen seda kirjutanud vaid VNC jaoks (https://help.ubuntu.com/community/x11vnc). Aga oleks vaja VNC-ühendust krüpteerida nt. üle SSH (tunneldamine). Et kuidas seda tunneldamist teha.
  • kaughalduses võiks olla selline lahendus, et saan näiteks õpilase ekraani lukustada, et ta ise midagi teha ei saa ent õpetaja saab. Või siis tõmbab sirmi ette ja vaid õpetaja näeb, mis toimub aga õpilane mitte. Või siis nii, et õpetaja edastab oma ekraanipildi kõikidele õpilastele ja õpilased midagi teha ei saa aga saavad vaadata. Või siis jookseb õpetaja näidatav pilt eraldi aknas õpilasel. Võibolla ei olegi sellist vabatarkvaralist või siis ka vabavaralist lahendust olemas ent mine tea...
  • SSH kasutamisest veel - näiteks kuidas SSH serverit Linuxis, BSD-s vms. paigaldada ja kuidas rakendusi ka graafiliselt üle võrgu teisest masinast oma masinas käivitada (ssh -XC kasutaja@IP ja siis rakendus&). Sellest seal juttu ei olnud. Ka see, et "&" lisamine lõppu annab võimaluse asja taustal jooksutada ja vabastab konsooli uuteks toiminguteks. Samuti võiks mainida, et /etc/ssh/sshd_config failis peab näiteks X11Forward yes olema, et GUI edastus lubatud oleks. Samuti seda selgitada, et miks võiks olla üle SSH root-kasutajaga sisselogimine keelatud. Vaatasin aadressi http://kuutorvaja.eenet.ee/wiki/Ssh ja näen, et automaatne isikutuvastus ja võtmefailide teema on seal olemas - pean nüüd lugema :)
  • kuidas Tiigrihüppe programme üle Wine, Cedega käima ajada. Näiteks Eesti Geograafia CD, Avatud Füüsika, jne. See annaks võimaluse ehk veelgi vähendada Windowsi vajadust klassiarvutites. Kui õnnestuks näiteks MS Office 2003 (Word, Excel, Powerpoint, Outlook, Access) ka üle Wine käima saada siis poleks Windowsi vajagi :)
  • kui on võimalust ja kogemust siis Dreambox-i kohta ehk midagi kirjutada (http://kool.rvg.edu.ee/arvutiring/?Teemad:SatTV:Dreambox). Tegemist ju Linuxil töötava riistapuuga, mida varsti vaat, et arvuti asemel kasutama hakatakse... USB kaudu veebikaamera lisamisel saab asjast koduse valvesüsteemi teha kuna Dreambox ka internetti ühendatakse...
  • Linuxi tulemüüridest võiks juttu teha - NARC ja sõbrad. Võiks rääkida nii käsureal töötavatest skriptidest kui ka GUI-põhistest lahendustest. Ühte skripti isegi kohtasin Kuutõrvajas. Sageli on probleemiks, et Windowsile on kenad graafilised lõppkasutaja tulemüürid olemas aga Linuxile mitte.
  • samuti võrguliikluse jälgimise tarkvara Linuxile - masina kaupa, protokolli kaupa, võrguliidese kaupa, jne. Näiteks kui tahaks avastada, et kes ja mida tirib ning tahaks selle konkreetse tirija välja visata.

Näiteks näen seda IP-d, et sikutab üle http mingit mahukat asja ja tahaks selle ühenduse katkestada - kuidas seda teha.

  • kuidas teha WWW, FTP, MySQL serverit nii, et vaid valitud IP-aadressid saaksid ligi. Samuti kuidas neile alla- ja üleslaadimise kiirusi ja kettakasutuse limiite määrata. Kui kasutajaid MySQL-i baasis hoida - ehk on siis parem asja teha?
  • kuidas kasutada mysqld_multi moodulit. Vajadus selline, et tahaks eraldi partitsioonidele teha baasid - õpilastele oma, õpetajatele oma ja kooli üldvajadusteks oma. Ehk katsetamiseks veel üks. Ma ei tea, kas see haakub ehk ka selle teemaga - http://kuutorvaja.eenet.ee/wiki/Mysql_cluster
  • milline võiks olla see sisselogimise skript Samba domeenis Windowsi masinatele, mis keelab ülearused asjad kinni. Et annan Samba serveris logon skripti ette (miski *.vbs fail) ja see keelab Windowsi kasutajal ära näiteks Control Panel, desktop properties, cmd, regedit, network neighbourhood, jne. - ühesõnaga kõik see, mida TweakUI ja Group Policy-ga (%SystemRoot%\system32\gpedit.msc /s) keelata saab.
  • kuidas teha nii, et oleks üks ja sama kasutaja nii Samba kui ka kõikide teiste teenuste jaoks - nt. FTP, e-post, kooli koduleht. Üldiselt on kasutusel vsftpd (lihtne, kiire, väike) ent võib muidugi ka midagi muud võtta kui muu ei aita. See parool võiks muidugi krüptitult üle võrgu liikuda.
  • VideoLAN-i teema - kuidas videoülekannet teha ja kuidas salvestada võimalikult ruumisäästvalt ent talutava kvaliteediga ning kuidas pärast *.vlc failid kõigile söödavaks teha. Näiteks ka see, et kui anda VideoDVD-st tehtud *.iso fail ette siis hakkab VLC seda mängima :) Ehk siis:

vlc -f fail.iso - VideoDVD täisekraanil mängima vlc -LZ playlist.m3u - muusikapalade nimekiri mängima ja koos nimekirja kordamisega ja järjekorra juhuvalikuga. Sama toimib ka Windowsis kuid seal tuleb "vlc" asemele kirjutada miskit "C:\Program Files\VideoLAN\vlc.exe".

  • siit edasi - kuidas võrgus mängitavad raadiot teha kõvakettal asuvatest failidest (IceCast, VLC, VLS)
  • avastasin aadressi http://kuutorvaja.eenet.ee/wiki/DNS - endal oleks vaja teha nii, et sisevõrgus olevad masinad oleksid miski nimega saadavad. Et DHCP-ga võetakse sisevõrgus töötav DNS, mis siis neid sisevõrgu masinaid tõlgib. Kas seda sisevõrgu DNS-i saaks kasutada ka vägivaldse ja ebasündsa sisuga lehtede ümbersuunamiseks süütule lehele, kasvõi kooli kodulehele? Ehk siis koolis on vaja blokeerida neid pahasid lehti - kuidas seda kõige paremini teha nii, et õpilastel ei oleks muud võimalust. Ise olen mõelnud, et miski proxy peaks tegema ja selle Firefoxile määrama. Siis ei saa õpilane ise sinna midagi panna kuna siis enam internet ei tööta kui proxy ära muudab.
  • terminal server Linuxi baasil võiks olla juhend.

"Tegemist on läbi suExec mehhanismi käivitatava PHP-CGI binary-ga, mis omakorda käivitab PHP skripti. Turvalisuse poolest on antud lahendus väga hea, kuna saame kogu virtuaalserveri chrootida ning iga kliendi skriptid jooksevad kliendi enda kasutajanime all, mistõttu on väga kerge ka tabada igasuguseid serveri liigseid koormajaid jne.

  • mida teha kui Linux, BSD vms. hangub - keyboard raw mode - kuidas seda aktiveerida, kontrollida et töötab ja kasutada.

Paljud teenusepakkujad kasutavad ka sellist lahendust, kus kliendi domeeni ei chrootita, sel juhul jooksevad kõik PHP skriptid sama kasutaja all, mille all jookseb veebiserver (apache). Lahendus on ebaturvaline põhjusel, et kui häkker kasutab ära suvalises PHP skriptis olevat turvaauku, pääseb ta ligi esiteks kogu serveris olevatele failidele (kõikide klientide failidele) ning lisaks saab kustutada (!) ja muuta kõiki faile, mis kuuluvad samamoodi kasutajale 'apache'." Et kuidas seda siis ikkagi teha...

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Saadetud_ideed&oldid=8327"